1

通常,尤其是在处理恶意软件文件时,您最终会遇到所有 API 在运行时在给定缓冲区内动态解析的情况,这种方法大大减慢了逆向过程(并使反编译器无用:(DWORD *) dword_123456(INT, UINT)()) 因为分析师必须运行恶意软件、解析 api 并在每个 api 调用旁边手动添加注释。我找到了间接调用插件,但它似乎只适用于“标准”C++ 方法。是否有任何脚本或我不知道的功能能够修补可执行文件,即使在调试期间,以便用他们的真实姓名调用 API?

4

1 回答 1

0

在IDA 安装目录的文件夹中,有一个名为renimp.idcIDA的脚本。idc只需在运行时附加 IDA(在恶意软件分析的情况下,您可能最好使用远程调试器),导航到解包器创建的 API 地址表并选择所有条目。然后运行上述脚本。它将重命名所有指向它指向的正确 API 的指针,因此 IDA 的类型库能够再次从它的内部数据库中为它解析正确的 typedef。

于 2013-02-15T15:41:56.377 回答